1Password Businessアカウントを保護するためのベストプラクティス
1Passwordマニュアル|チームとビジネスのための1Password Businessアカウント保護のベストプラクティスを説明します。
PreviousSCIM を使用してプロビジョニングするときに1Password Businessで許可されたドメインを更新するNext1Password Unlock with SSO で使用するためのベストプラクティス
Last updated
1Passwordマニュアル|チームとビジネスのための1Password Businessアカウント保護のベストプラクティスを説明します。
Last updated
あなたの情報を保護し、あなたとあなたのチームが常にアカウントにアクセスできるように1Password Business を設定する方法を紹介します。
1Password Businessにサインアップすると、チームの情報に誰もアクセスできないように設計された一連の機能によってアカウントがすでに保護されます。以下の手順に従って組織内にポリシーをCreateし、 1Password内の設定を調整して、アカウントのセキュリティと冗長性をさらに強化できます。
特定のアカウント レベルの権限と機能の冗長性を保証するには、アカウントに少なくとも 2 人の所有者が必要です。所有者は次のとおりです。
1Passwordアカウント全体とその中のすべてのデータを削除することができます。
Secret Keyまたはアカウントパスワードを紛失した人のアカウントを回復できます。
所有者グループに別のチーム メンバーを追加できる唯一のユーザー。
1Passwordサポート チームに請求情報の変更を許可できます。
アカウント内に存在しないユーザーがCreateした保管庫を含め、アカウント内でCreateされた共有保管庫にアクセスして管理できる唯一のユーザー。
必要に応じて所有者のアカウントを回復できるようにすることが重要です。チームの回復計画を実装する方法を紹介します。
所有者と管理者は、チーム メンバーのアカウントを回復したり、カスタム グループをCreateしてグループ メンバーにアカウント回復の権限を与えたりすることができます。 1Passwordインスタンスのセキュリティを確保するには、組織のメール システムへの管理アクセス権を持つユーザーやグループにアカウント回復の権限を与えないようにすることが重要です。
誰かのアカウントが回復されると、その人は回復を開始するためのリンクが記載されたメールを受け取ります。メール管理アクセス権を持ち、チーム内の1Passwordアカウントを回復する権限を持つ悪意のある人物は、誰かのメール受信トレイを乗っ取り、 1Passwordアカウントを回復して、アカウントを乗っ取る可能性があります。誰かがこの方法を使用して所有者としてアカウントにサインインすると、重大な損害が発生し、 1Passwordアカウント全体が削除される可能性があります。
1Password は、メールを使用してユーザーをアカウントに招待し、アクセスを失った場合にアカウントを回復します。誰かがチーム メンバーのアカウント回復を開始する場合、メール以外の方法で受信者の ID を確認し、チーム メンバーがアカウント回復を完了したことを確認する必要があります。
アカウントの最低限のパスワード要件を設定できます。チームを招待する前に、アカウント パスワード ポリシーをCreateしてください。ポリシーは遡及的に適用されることはないため、ポリシーが設定される前に1Passwordアカウントに参加したユーザーは、パスワードを変更するか、アカウントが回復された場合にのみ、ポリシーに従う必要があります。
1Password のセキュリティ モデルは、Save時の暗号化のための 2 つの秘密鍵導出アプローチから、サーバーとクライアントの認証のためのSecure Remote Passwordプロトコルの使用まで、暗号化に基づいています。
このモデルでは認証は重視されていませんが、チーム メンバーに 2 要素認証を要求することを検討してください。オンにすると、新しいデバイスで1Passwordアカウントにサインインするときに、アカウントのパスワードとSecret Keyに加えて、2 番目の要素が必要になります。これにより、保護の層がさらに強化されます。
万が一、攻撃者がチーム メンバーのアカウント パスワードとSecret Keyを入手した場合、サインインするには、2 要素認証に使用されるデバイス (認証アプリを搭載したスマートフォンまたはハードウェア セキュリティーキー)も必要になります。
2 要素認証を管理する方法を紹介します。
特定のチーム メンバーまたはグループのみに 2 要素認証の使用を要求することもできます。書面によるポリシーをCreateし、チーム レポートを使用して、2 要素認証を有効にしたユーザーを確認します。
組織のセキュリティ要件が特に高い場合は、次の 2 人ルールに従うことを検討してください。
新しい所有者のパスワードとSecret Keyを2 人の間で分割し、所有者としてサインインするには両方が必要になります。
誰かがデバイスの所有者としてサインインしてタスクを実行した後は、 1Passwordアプリから所有者情報を削除し、ブラウザーセッションをクリアします。
グループ権限により、ユーザーは1Passwordアカウント全体に影響する変更を行えるため、権限の付与は慎重に行う必要があります。Owners and Administratorsグループのチーム メンバーの数をできるだけ少なくするには、カスタム グループをCreateしてチーム メンバーに管理権限を付与します。
特定のグループにのみ共有保管庫のCreateを許可することもできます。デフォルトでは、Team Membersグループの全員が共有保管庫をCreateできますが、グループからこの権限を削除できます。保管庫をCreateしたチーム メンバーは自動的にその保管庫の管理者になり、他のチーム メンバーやグループのアクセスを管理したり、保管庫を削除したりできます。チーム マネージャー、部門長などのカスタム グループにCreate Vaults権限を付与することをお勧めします。次に、命名規則など、共有保管庫を設定するためのベスト プラクティスについてこれらの人々に教育します。
カスタム グループと権限の使用方法を学習します。
保管庫を設定および整理する場合、広範囲のアクセスが可能な汎用保管庫をCreateしないでください。代わりに、専門的な情報 (トロント オフィス、マーケティング、ベンダー #12 など) を含む特定の保管庫を設定し、これらの保管庫を、Create業に情報を必要とするチーム メンバーまたはグループと選択的に共有します。
各保管庫に対するユーザーとグループの権限は最小限に抑えてください。共有保管庫では、最も高い権限セットが優先されます。チーム メンバーがグループ レベルの保管庫で低い権限を持ち、個別により高い権限を付与された場合、最も高い権限レベルが使用されます。
たとえば、チーム メンバーには、マーケティング グループのメンバーシップの一部として、ソーシャル メディア 保管庫に対するアイテムの表示権限が付与されます。また、個人レベルで保管庫に追加され、一時的なプロジェクトのタスクを実行するためのCreate Items権限が付与されます。この場合、上位の権限セットであるCreate Itemsが適用されます。
デフォルトでは、チームメンバーは自分のコンピューターやモバイルデバイス上の1Passwordアプリで保管庫にアクセスできます。保管庫を共有するときにアプリのアクセスを管理して、特定のアプリへのアクセスを制限できます。たとえば、機密データがローカルにキャッシュされないようにしたい場合は、すべてのアプリからアクセスを削除しながら1Password for Web (1Password.com) を許可することで、チームは引き続きブラウザーで保管庫にアクセスできるようになります。Windows や Linux などの特定のオペレーティングシステムのアプリを許可することもできます。
アイテム共有設定はアカウント レベルで、チーム メンバーが個々のアイテムを共有する方法を指定します。アイテム共有設定をプロアクティブに管理します。共有保管庫では、これらの設定はコピーと共有権限と連動します。Copyと共有権限は、個々のチーム メンバーまたはグループの保管庫 レベルで適用され、共有保管庫のアイテムを外部で共有できるようになります。
責任は時間とともに変化するため、アクセスも変化する必要があります。チーム メンバーが必要以上に広い権限を持たないようにするには、ユーザーとグループの Vault 権限を定期的に監査します。また、カスタム グループを通じて付与された権限も定期的に確認します。チーム メンバーと Vault の使用状況レポートをCreateして、メンバーがアクセスできる権限をすぐに確認できます。
個別に共有されたアイテムは慎重に管理する必要があり、リンクは使用後に削除する必要があります。Activity Logを使用してアイテム共有リンクを削除する方法について説明します。
1Password Business には、アカウントで何が起こっているか、チームメンバーが1Password をどのように使用しているかを把握するのに役立つ幅広いレポート ツールが含まれています。
Business Watchtowerレポートを使用すると、Owners and Securityグループのユーザーは、弱いパスワード、再利用されたパスワード、侵害されたパスワード、非アクティブな 2 要素認証、期限切れのアイテムなど、共有されたすべての保管庫のセキュリティの問題を確認できます。
サインイン試行のレポートデータは、 1Passwordサーバーに 60 日間Saveされます。このデータに長期間アクセスする必要がある場合は、 1PasswordEvents Reportingを使用してください。
1Password は、さまざまな種類のサードパーティ アプリケーションやサービスと統合できるため、組織のテクノロジー スタックの貴重な一部となります。統合できるのは以下のとおりです。
自動ユーザープロビジョニングとグループ管理のためのサポートされている ID プロバイダー。
イベント レポート用の SIEM およびログ分析ツール。
1Password Secrets Automationを使用して保管庫 データにアクセスするためのサードパーティ アプリケーション。
これらの統合はすべて、 1Passwordアカウントの一部へのアクセスを許可する認証情報のセットを使用して設定されます。1Password 1Password SCIM Bridgeの scimsession ファイルまたは1Password Connect Serverの 1password-credentials.json ファイルには、Save時に暗号化された認証情報が含まれており、サービス アカウントを使用して1Passwordにサインインするために使用されます。SCIM SCIM bridgeまたは Connect Server へのアクセスを認証するために使用されるベアラー トークンも、認証されたリクエストごとにこれらの認証情報を復号化します。
1Passwordとの統合を設定する場合、これらの資格情報は、特定の人だけがアクセスできる共有保管庫にSaveする必要があります。メールやSlackなどの安全でない方法を使用してこれらの資格情報を共有しないでください。
1Password Secrets Automationのアクセス トークンの場合、保管庫へのアクセス範囲は最小限に抑える必要があります。サードパーティ アプリケーションが関連付けられたトークンを通じて保管庫にアクセスできるレベルと、 1Password Secrets Automationワークフローおよび1Password Connect Server にアクセスできるユーザーを定期的に確認する必要があります。
統合により、自動化されたツールが1Passwordアカウントの特定の部分に無人アクセスできるようになります。1Password 1Password SCIM Bridge、グループやグループ メンバーシップを変更したり、チーム メンバーを招待したり一時停止したりできます。1Password 1Password Secrets Automation、サードパーティ アプリケーションが保管庫の内容にアクセスできるようになります。1PasswordEvents Reportingでは、 1Passwordやその他のツールが1Passwordインスタンスに関する使用状況メタデータを取得できるようになります。
特定の資格情報を使用して専用の1Passwordアプリケーションにサインインすることでこれを行います。これは、チーム メンバーが自分のアカウント パスワードを使用して1Password のロックを解除し、パスワードやその他の項目にアクセスするのと似ています。これらの統合の設定と取り扱いには注意し、定期的に確認するようにしてください。
1Password SCIM Bridgeと1Password Connect Server のセキュリティについて詳しくご覧ください。
1Passwordは、 1Passwordサーバー上のデータや転送中のデータを狙った攻撃に対して非常に耐性があるように設計されています。どちらの場合も、ユーザー データは、その人だけが知っているSecret Keyとアカウント パスワードから派生したキーで暗号化されます。チーム メンバーのデバイスは、攻撃者が1Passwordデータにアクセスできる唯一の場所です。これらのデバイスを安全に保つことを最優先し、チーム メンバーにセキュリティー対策について教育してください。
データを安全に保つには:
フルディスク暗号化を使用してチームのデバイスを保護し、シャットダウン時にデバイスへの不正アクセスのリスクを軽減します。
デバイスを短時間で自動的にロックし、ロック解除にユーザー パスワードが必要になるように設定します。これにより、ロック解除された状態でデバイスが盗難されるリスクが軽減されます。
従業員が生体認証方式を使用してセキュリティを便利に利用できるようにします。
理想的には、オペレーティング システム自体の整合性と保護対策を損なわない、高品質のマルウェア対策保護をデバイスにインストールします。
1Passwordの自動ロック時間を短く設定し、利便性のために生体認証を活用します。モバイル デバイス管理を使用してこれらの設定を管理する方法を紹介します。
チームの教育に役立てるために、次の1Password Universityコースをご利用ください。
1Passwordに招待するチーム メンバーに、カスタムの専用1Passwordポリシーを配布します。1Password の使用方法、 1PasswordにSaveするデータの種類、そのデータの整理方法を説明します。また、無料の1Password Familiesメンバーシップを使用して個人情報を保護できることをチームに知らせることもできます。
ツールは、正しく使用する方法をユーザーが知って初めて価値あるものになります。これは、組織がチームに毎日使用してもらうセキュリティ ツールやプロセスにとって特に重要です。チーム メンバーにトレーニング リソースを提供します。このトレーニングでは、 1Passwordだけにとどまらず、一般的なセキュリティ意識を取り上げ、セキュリティ衛生のメリットをアピールできます。
理想的なセキュリティ意識向上トレーニングでは、方法だけでなく理由も説明します。トレーニング プログラムをCreateする際にインスピレーションを得るには、 1Password Customer Success Managerに問い合わせるか、 1Password Universityで提供されているコースを調べてください。
離職は起こるものであり、従業員が退職した後にアカウントを閉鎖し、パスワードを循環させるためのベストプラクティスを明確に示す、堅牢な退職プロセスを早い段階で考案する必要があります。
オフボーディング中にチーム メンバー用の共有保管庫をCreateし、従業員保管庫からアイテムをコピーするように依頼します。チーム メンバーが停止された場合、チームは必要なパスワードにすばやくアクセスして使用したり、アカウントを適切な人に転送したりできるようになります。
従業員が停職処分を受けた後でも、電子メール アカウントなど1Password外のすべてのパスワードを変更して、その従業員のアクセスを直ちに取り消してください。
オフボードされたチーム メンバーが共有パスワードをコピーしたと仮定します。メンバーがアクセスしたすべてのパスワードを変更して、メンバーがCreateしたコピーが使用できないようにする必要があります。
使用状況レポートをCreateして、元チーム メンバーが最後に使用したアイテムを特定します。重要度の高い保管庫のパスワード変更を優先し、その他のパスワード変更を保管庫 マネージャーに委任して、すべてのパスワードの更新にかかる時間を短縮することを検討します。
チーム メンバーを一時停止または削除すると、そのメンバーがインターネットに接続され、 1Passwordがロック解除されている場合にのみ、そのメンバーのデータがアプリとデバイスから削除されます。チーム メンバーのアカウントを一時停止または削除したときにそのメンバーがオフラインの場合、そのメンバーのアイテムは、インターネットに接続しているときに次に1Password のロック解除を試行するまでアクセス可能なままになります。
チーム メンバーをオフボードする方法を紹介します。
オフボーディング同意書をCreateし、従業員ポリシーに含めることもできます。同意書では、 1Passwordの従業員用保管庫について、チームメンバーに次のことを知らせることができます。
組織を離れるとアクセスできなくなります。無料の1Password Familiesメンバーシップを使用して、個人的なアイテムをSaveできます。
仕事用のメールのパスワードなど、仕事関連の項目のみに使用されます。
緊急事態や解雇により突然退職した管理者は、アカウント回復機能を使用してアクセスできます。
デバイスを紛失または盗難された場合、デバイスがロックされていることが確実な場合は、デバイスの認証を解除します。
サイドバーの「ユーザー」をクリックし、ユーザーを見つけて名前をクリックします。
下にスクロールして、紛失または盗難にあったデバイスの横にある歯車ボタンを選択し、 「Deauthorize Device」を選択します。
デバイス上の1Passwordのデータは、ユーザーのアカウント パスワードで暗号化されます。チーム メンバーが強力なアカウント パスワードを使用している限り、デバイスにアクセスできるユーザーが1PasswordにSaveされているものを見ることはできません。このような事態を防ぐために、強力なアカウント パスワード ポリシーを設定し、適切なアカウント パスワードの選択方法をチーム メンバーに指導してください。
デバイスを紛失または盗難され、そこに1PasswordデータがSaveされている場合の対処方法について詳しく説明します。
誰かがチーム メンバーのロック解除されたデバイスまたはEmergency Kitにアクセスした、チーム メンバーのパスワードを推測した、またはチーム メンバーのデバイスがマルウェア (キーロガー攻撃など) によって侵害されたと思われる場合は、次の手順に従ってください。
メール アカウントのパスワードをリセットします。
1Passwordアカウントを再アクティブ化し、アカウントの回復を開始します。
このシナリオでは、チーム メンバーに1Passwordアカウントのパスワードを変更するように依頼するだけでは不十分です。アカウント パスワードまたはSecret Keyを変更しても、新しい個人キーセットはCreateされず、個人キーセットを暗号化するAccount Unlock Key(AUK) のみが変更されるためです。誰かの古い個人キーセットにアクセスした攻撃者は、古いアカウント パスワードと古いSecret Keyを使用してそれを復号化し、それを使用してチーム メンバーがアカウント パスワードを変更した後にCreateされたデータを復号化できます。このシナリオでは、必ずアカウントを回復してキーセットを置き換え、すべての Vault キーを再暗号化してください。
デバイスが盗まれ、侵害された場合、攻撃者が影響を受けたチーム メンバーのアカウントにアクセスし、デバイスをオフラインにして、 1Passwordアプリの復号化されたローカル データベースにSaveされているすべての情報のコピーをCreateしている可能性があると想定してください。上記の緩和手順に加えて、チーム メンバーの使用状況レポートをCreateし、アクセスした保管庫内のパスワードやその他の機密データをすぐに変更する必要があります。
ヒント: チーム メンバーが重要な情報を含む共有保管庫をCreateし、他のユーザーに保管庫を表示する権限がない場合は、所有者がアクセスを許可してデータの継続性を確保できます。
ヒント アカウント パスワードは、デバイス上のデータを保護します。パスワードはできるだけ強力である必要がありますが、覚えやすいものでなければなりません。適切なパスワード ポリシーをCreateしてチームに伝える方法について質問がある場合は、Customer Success Managerにお問い合わせください。
ヒント1Passwordでアクセスを許可するときは、最小権限の原則に従ってください。組織内での役割に必要な情報や権限のみへのアクセスを許可してください。
重要: データへのアクセスは、保管庫 レベルで決定されます。共有されたデータは、共有解除できません。保管庫へのアクセスを許可したり、アイテムを外部で共有したりすると、その情報に対する制御ができなくなります。
ヒント: アイテムのCopyと共有、アイテムの移動、アイテムのエクスポートの権限は、グループのCreate業に必要な場合を除き、共有保管庫へのグループ アクセスから削除する必要があります。必要に応じて、特定のユーザーにこれらの権限を与えることができます。保管庫共有の既定の権限を選択する方法について説明します。
ヒント: 部門とリーダーシップ担当者の組織図を定期的に参照し、マネージャーやチームリーダーなどの高レベルの役割に1Password内で適切なレベルのアクセス権が付与されていることを確認してください。
ヒント: セキュリティ情報およびイベント管理 (SIEM) またはログ分析ツールを使用している場合は、それを1PasswordEvents Reportingと統合して、組織のアプリケーションとサービスを管理する中央の場所で、サインイン試行やアイテムの使用状況などの1Passwordアクティビティに関するレポートを取得することを検討してください。
重要: 共有した後は、共有を解除することはできません。組織を退職した人と共有したパスワードをリセットまたは変更し、新しいパスワードを1PasswordにSaveして、全員がアクセスできるようにします。
